Το τμήμα ασφαλείας της Microsoft, σε α δελτίο τύπου χθες, 6 Δεκεμβρίου, αποκάλυψε μια επίθεση που στόχευε νεοφυείς επιχειρήσεις κρυπτονομισμάτων. Κέρδισαν την εμπιστοσύνη μέσω της συνομιλίας στο Telegram και έστειλαν ένα Excel με τίτλο «OKX Binance and Huobi VIP fee krahasim.xls», το οποίο περιείχε κακόβουλο κώδικα που μπορούσε να έχει απομακρυσμένη πρόσβαση στο σύστημα του θύματος.
Η ομάδα πληροφοριών για τις απειλές ασφαλείας έχει παρακολουθήσει τον παράγοντα απειλής ως DEV-0139. Ο χάκερ μπόρεσε να διεισδύσει σε ομάδες συνομιλιών στο Telegram, την εφαρμογή ανταλλαγής μηνυμάτων, μεταμφιεσμένος σε εκπροσώπους μιας εταιρείας επενδύσεων κρυπτογράφησης και προσποιούμενος ότι συζητούσε για τις χρεώσεις συναλλαγών με VIP πελάτες μεγάλων χρηματιστηρίων.
Ο στόχος ήταν να εξαπατηθούν επενδυτικά κεφάλαια κρυπτογράφησης για να κατεβάσουν ένα αρχείο Excel. Αυτό το αρχείο περιέχει ακριβείς πληροφορίες σχετικά με τις δομές τελών των μεγάλων ανταλλακτηρίων κρυπτονομισμάτων. Από την άλλη πλευρά, έχει μια κακόβουλη μακροεντολή που εκτελεί ένα άλλο φύλλο Excel στο παρασκήνιο. Με αυτό, αυτός ο κακός ηθοποιός αποκτά απομακρυσμένη πρόσβαση στο μολυσμένο σύστημα του θύματος.
Microsoft εξήγησε, "Το κύριο φύλλο στο αρχείο Excel προστατεύεται με τον κωδικό πρόσβασης dragon για να ενθαρρύνει τον στόχο να ενεργοποιήσει τις μακροεντολές." Πρόσθεσαν, «Το φύλλο στη συνέχεια δεν προστατεύεται μετά την εγκατάσταση και εκτέλεση του άλλου αρχείου Excel που είναι αποθηκευμένο στο Base64. Αυτό πιθανότατα χρησιμοποιείται για να εξαπατήσει τον χρήστη για να ενεργοποιήσει τις μακροεντολές και να μην προκαλέσει υποψίες."
Σύμφωνα με αναφορές, τον Αύγουστο, η cryptocurrency Η εκστρατεία εξόρυξης κακόβουλου λογισμικού μόλυνε περισσότερους από 111,000 χρήστες.
Οι πληροφορίες απειλών συνδέουν το DEV-0139 με την ομάδα απειλών Lazarus της Βόρειας Κορέας.
Μαζί με το κακόβουλο αρχείο μακροεντολής Excel, το DEV-0139 παρέδωσε επίσης ένα ωφέλιμο φορτίο ως μέρος αυτού του κόλπου. Αυτό είναι ένα πακέτο MSI για μια εφαρμογή CryptoDashboardV2, που πληρώνει την ίδια παρεμπόδιση. Αυτό είχε κάνει αρκετές πληροφορίες να υποδηλώνουν ότι βρίσκονται επίσης πίσω από άλλες επιθέσεις που χρησιμοποιούν την ίδια τεχνική για να προωθήσουν προσαρμοσμένα ωφέλιμα φορτία.
Πριν από την πρόσφατη ανακάλυψη του DEV-0139, υπήρχαν άλλες παρόμοιες επιθέσεις phishing που ορισμένες ομάδες πληροφοριών απειλών υπέδειξαν ότι μπορεί να λειτουργούν στο DEV-0139.
Η εταιρεία πληροφοριών απειλών Volexity δημοσίευσε επίσης τα ευρήματά της σχετικά με αυτήν την επίθεση το Σαββατοκύριακο, συνδέοντάς τη με την Βορειοκορεάτης Λάζαρος ομάδα απειλών.
Σύμφωνα με το Volexity, ο Βορειοκορεάτης χάκερ χρησιμοποιήστε παρόμοια κακόβουλα υπολογιστικά φύλλα σύγκρισης τελών ανταλλαγής κρυπτονομισμάτων για να απορρίψετε το κακόβουλο λογισμικό AppleJeus. Αυτό είναι αυτό που έχουν χρησιμοποιήσει σε κλοπές κρυπτονομισμάτων και κλοπές ψηφιακών περιουσιακών στοιχείων.
Το Volexity αποκάλυψε επίσης τον Lazarus χρησιμοποιώντας έναν κλώνο ιστότοπου για την αυτοματοποιημένη πλατφόρμα συναλλαγών κρυπτογράφησης HaasOnline. Διανέμουν μια trojanized εφαρμογή Bloxholder που αντί αυτού θα αναπτύξει κακόβουλο λογισμικό AppleJeus που περιλαμβάνεται στην εφαρμογή QTBitcoinTrader.
Η ομάδα Lazarus είναι μια ομάδα απειλών στον κυβερνοχώρο που δραστηριοποιείται στη Βόρεια Κορέα. Δραστηριοποιείται από το 2009 περίπου. Είναι διαβόητο για επιθέσεις σε στόχους υψηλού προφίλ παγκοσμίως, συμπεριλαμβανομένων τραπεζών, οργανισμών μέσων ενημέρωσης και κυβερνητικών υπηρεσιών.
Η ομάδα υποπτεύεται επίσης ότι είναι υπεύθυνη για το hack της Sony Pictures το 2014 και την επίθεση ransomware WannaCry το 2017.
Πηγή: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/